dm-crypt смена пароля
При установке Debian 5 всё, кроме /boot, было зашифровано dm-crypt. Возникла необходимость сменить пароль. Как это сделать?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
а почему в этом примере при удалении указаны разные разделы? "1" – это опечатка?
Делаю по рекомендации:
P.S.
комментариев: 11558 документов: 1036 редакций: 4118
защита от дураканадо убедиться, что пользователь знает какую-нибудь пассфразу, помимо удаляемой.Шифрпанк во всей красеА что, трудно было об этом написать в информационном сообщении, сопутствующем запросу пассфразы? Если понимать вопроc так, как он задан, то LUKS лжёт: написано «любая», а «любая» не работает. Только не надо писать про багрепорты.комментариев: 11558 документов: 1036 редакций: 4118
Okayface.jpg
Должен сказать, что требование очень логичное, а то так можно создать дополнительную пассфразу, забыть её, продолжив использовать старую, а потом по ошибке грохнуть не тот слот. Когда убивается слот по номеру, вообще неясно, какой пассфразе он соответствует, если вы не отслеживали историю появления слотов, а так хоть какая-то защита есть...
P.S. После такой логики LUKS трудно привыкнуть к тому, что вводить старую пассфразу для смены пароля рута вообще не надо.
Если заголовок LUKS-тома случайно попадает на bad-блоки на диске, то что будет? Пароли съедятся, информация запишется, но потом её будет не расшифровать. По-моему, у меня сейчас уже второй раз такой глюк происходит с одним и тем же LUKS-разделом.
комментариев: 9796 документов: 488 редакций: 5664
К одному разделу сколько ни вводил пароль, он не подходил. Перезагрузился, попробовал в другой день — подошёл. Стёр пот с лица. К другому разделу (для него бэкапы уже были) как ни вводил пароль, всё не получалось. И раздел такой, что редко монтируется, не должны там быть bad-блоки. В итоге решил попробовать модификации пассфраз и выяснил, что пароль стоял там не тот, какой должен был быть и какой я думал. Тоже открылось. Но с тех пор я бэкаплю хидеры.
Кстати, странно, что LUKS'у нельзя указать внешний хидер параметром. Надо восстаналивать хидер, как я понял, на самом разделе, а потом пробовать его открыть. А что толку, если там bad-блок будет? Он же по сути не сможет в это место что-то записать. Записываться будет одно, а читаться другое.
Вообще, с bad-блоками, наверное, можно побороться брутфорсом, но с учётом того, что там в LUKS стоит соль и много итераций для замедления, перебор тысяч вариантов (допустим, поменялся один-два байта из сотен байт, содержащих хидер) может растянуться на непозволительно длительный срок...
Те, кто знают, что они делают, могут существенно упростить себе жизнь:
В новых версиях можно — опция --header.